ALPRにスマホ・AirPods・スマートウォッチの追跡機能が追加へ。プライバシーの境界線が崩壊？

自動車ナンバープレート自動読み取り装置（ALPR）を提供する企業が、車両だけでなく、スマホやAirPods、スマートウォッチといった個人デバイスの追跡機能まで実装しようとしています。移動履歴の監視がかつてないほど詳細になる可能性があり、プライバシー保護の観点から波紋を呼びそうです。

よく考えたら、エージェンシーや企業がすでに似たようなリストをいくつか作成していても不思議じゃないな。

今のBluetoothデバイスのほとんどは、この方法ではユニークに識別できないんじゃないの？こういったことを防ぐためにそうなっているはずだし。もしそうじゃないとしたら、彼らは私のAirPodsが常にペアリングモードになっていて、「mikeocool's AirPods」という名前で追跡できることを期待しているのか？

これ、違法なんじゃないの。もしそうじゃないとしても、違法にするべきだと思う。

これが本当なら、プライバシーなんて終わってるな。

10年前にこの分野で製品開発をしてたんだ。主にBluetooth、後でBLEとWiFi。当時は多くの家電が常に接続可能な状態だった。トラフィックの3〜5％は検出可能なMACアドレスを持っていたよ。今はそんなに多くない。iPhoneはペアリングモードにしない限り絶対に見つからないし、BLEはビーコンを頻繁に飛ばしてフィルタリングすべきデータは多いけど、MACアドレスも頻繁に変えるからね。

ほとんどのWiFiチップセットはハードウェアベースのMAC層を使っているから、実質すべての組み込みモジュールでプロミスキャスモードのモニタリングやスニッフィングは不可能だ。かつて「SoftMAC」と呼ばれる、LinuxドライバがMAC層を制御するチップセットがあって、そこでは空中の全トラフィックをスニッフィングして大量のMACアドレスをキャプチャできた。あれは便利だったけど、より高いCPUパワーと古い特定のハードウェアが必要だった。ALPRみたいに電源が確保できる場所なら問題ないかもしれないけど、実際にやってる企業は知らないな。競合のほとんどは、デバイスが検出可能な状態であることに依存するような、ありふれたデバイス検出ソリューションを使っていたよ。マーケティング的には「聞こえが良い」から売れるんだけど、実際の結果はかなり微妙で、ベンダーがデフォルトで検出不可にしたり、スマホが動的MACアドレスを使うようになったりして、状況は悪化する一方だったね。

図を見ると、ペットのマイクロチップや社員証を含むRFID/NFCタグもすべて自分と紐付けられることになるね。

90年代後半、バークレー公共図書館が蔵書管理にRFIDタグの導入を検討していたのを思い出したよ。当時はかなりの反発があって驚いたものだ。自由を重んじる図書館の利用者は、邪悪な追跡に使われることを懸念していた。一方、導入推進派は、人や読書内容を追跡するという概念自体、被害妄想だと考えていたね。

Flipper Zeroをプログラムして、数週間かけて無線IDを全部記録しておくといい。それをブロードキャスターとアンプにつないで車に積んでおけば、通り過ぎるたびにパレードが来たみたいになるよ。

小売店に行くときも同じことをすればいい。ありとあらゆるIDでその場所を洪水みたいに埋め尽くすんだ。

あるいは、もっと楽な解決策として、偽のIDを数百個生成して移動先で常に送り続けるツールを書くのもいいかもね。パースしようとしたときに相手のデバイスがクラッシュするようなIDを作れたらボーナスポイントだ。

これって実質的に盗聴だよね。

公共の場で私的な会話をキャプチャするような盗聴器を仕掛けるのはほとんどの州で違法だし、これと基本的には変わらないと思う。

MACアドレスのランダム化は良いことだけど、デバイス名に自分のフルネームを使っていたらそのセキュリティも意味がなくなる。特にAppleデバイスでよく見かけるよね。近所の人がデバイス名からどれだけデータを漏らしているかを知って以来、自分はすべてのデバイスに、自分やデバイスを特定できないような適当な名前を付けているよ。